# Step 2 – Categorize
Tahap Categorize menentukan tingkat dampak kerahasiaan, integritas, dan ketersediaan sistem. Kategorisasi ini menentukan tingkat kontrol yang harus diterapkan organisasi.
## 1. Konteks
Risiko berbeda antara satu sistem dengan sistem lainnya. Oleh karena itu, kontrol keamanan harus sebanding dengan tingkat risiko.
## 2. Konsep Utama
Categorize menggunakan model dampak rendah, sedang, dan tinggi untuk CIA triad.
Setiap sistem dinilai berdasarkan potensi kerusakan apabila terjadi insiden.
## 3. Implementasi Organisasi
Tim risiko melakukan workshop kategorisasi dan mendokumentasikan hasil analisis dampak.
## 4. Kaitan dengan NIST & UU PDP
UU PDP meminta organisasi membatasi risiko terhadap pemilik data pribadi. Kategorisasi membantu menentukan prioritas pengamanan.
## 5. Ringkasan
Tahap Categorize memastikan kontrol disesuaikan dengan risiko.
